（新版）CISA國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證備考試題庫(kù)（600題）

(新版)CISA國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證備考試題庫(kù)(600D、消磁(使設(shè)備暴露于磁場(chǎng)中)A、不是所有設(shè)備都運(yùn)行了防病毒程序B、只有部分員工參加了安全意識(shí)培訓(xùn)C、企業(yè)沒有有效的修補(bǔ)程序管理流程D、文件共享政策尚未進(jìn)行過審查8.要有效地建立業(yè)IT結(jié)構(gòu)體系，以下哪一項(xiàng)最為重要：A、僅在體系結(jié)構(gòu)中包含關(guān)鍵系統(tǒng)D、與其他組織體系結(jié)構(gòu)的對(duì)比9.下列哪項(xiàng)技術(shù)對(duì)項(xiàng)目管理有效?(項(xiàng)目管理有效性體現(xiàn)在)A、達(dá)到關(guān)鍵里程碑B、使計(jì)劃與業(yè)務(wù)組合一致10.企業(yè)遭受了釣魚攻擊，某用戶向攻擊者泄露了自己賬號(hào)的密碼。以下哪一項(xiàng)措施能最有效地降低隨后的攻擊入侵的風(fēng)險(xiǎn)?A、教育用戶B、反垃圾郵件篩選器露?D、效率效能相關(guān)的選項(xiàng)(可排除)25.公司實(shí)施三單(訂單、貨物單據(jù)和發(fā)票)自動(dòng)匹配的目的是控制以下哪種風(fēng)險(xiǎn)?B、忘記了(可排除)下哪一項(xiàng)會(huì)引起審計(jì)師最大的擔(dān)心?此方法完全依賴于使用：28.以下哪一項(xiàng)最使信息系統(tǒng)審計(jì)師向管D、確保所有端口在使用中31.風(fēng)險(xiǎn)評(píng)估結(jié)果需要更新主要是由于()?B、應(yīng)對(duì)數(shù)據(jù)的變化32.在制定新的風(fēng)險(xiǎn)管理計(jì)劃時(shí)，一定要考慮以下哪種因素?(新題)B、合規(guī)性措施33.在電子商務(wù)中使用的典型網(wǎng)絡(luò)體系結(jié)構(gòu)中，負(fù)載平衡器通常位于下面哪兩個(gè)34.對(duì)員工進(jìn)行了安全培訓(xùn)教育，以下哪種方式證明了培訓(xùn)的有效性?因?議?D、項(xiàng)目經(jīng)理B、增加索引個(gè)?A、IT項(xiàng)目由技術(shù)審查委員會(huì)正式審查是否符合IT標(biāo)準(zhǔn)D、并行運(yùn)行(平行運(yùn)行)力)65.供應(yīng)商提供SLA服務(wù)中規(guī)定保護(hù)備份介質(zhì)完整。在審查各份介質(zhì)時(shí)，發(fā)現(xiàn)有A、實(shí)施在上班時(shí)間可用的社交軟件的政策(制定政策限制社交網(wǎng)絡(luò)的使用)85.以下哪一項(xiàng)控制最能防止互聯(lián)網(wǎng)噢探器(Internetsniffer)進(jìn)行重放攻擊(r響?式是什么?93.2022年4月題目為：審計(jì)師如何評(píng)估公司員工安全意識(shí)充分性?95.關(guān)于數(shù)據(jù)庫(kù)鎖定的記錄的目的是什么?(DBMS的記錄鎖定RecordingoptionA、輸錯(cuò)了3次密碼，就鎖定該賬戶ID接受相關(guān)風(fēng)險(xiǎn)，如果審計(jì)師不同意管理層的決定項(xiàng)?A、UPSB、冗余電力(發(fā)電機(jī))因素?)118.為驅(qū)動(dòng)問責(zé)制以實(shí)現(xiàn)在IT項(xiàng)目利益實(shí)現(xiàn)計(jì)劃中的預(yù)期結(jié)果，應(yīng)項(xiàng)措施?查?124.以下哪項(xiàng)可以提供邏輯訪問控制，以禁止更新或刪除關(guān)系數(shù)據(jù)庫(kù)(relation126.公司要將保密數(shù)據(jù)給到下游應(yīng)用系統(tǒng)，最能保證安全性的是?(金融機(jī)構(gòu)需要向下屬分公司傳輸機(jī)密性的數(shù)據(jù)，最佳做法是?)A、重復(fù)寫(覆寫)A、績(jī)效改進(jìn)相關(guān)的描述(可以排除)140.審計(jì)師關(guān)注UAT測(cè)試的重點(diǎn)是?149.客戶可以通過internet直接訪問一個(gè)web應(yīng)用系統(tǒng)(客戶略?層?170.IS信息系統(tǒng)SJ審計(jì)師審計(jì)時(shí)發(fā)現(xiàn)有些員工離職后，賬號(hào)仍然能訪問系統(tǒng)，175.實(shí)施新的應(yīng)用程序軟件包(或第三方應(yīng)用),最大的風(fēng)險(xiǎn)是內(nèi)部審計(jì)師首先要()189.哪一項(xiàng)是確定最近安裝的入侵檢測(cè)系統(tǒng)(IDS)的有效性的最佳方式?(已發(fā)布)193.以下哪項(xiàng)是檢測(cè)型控制(又稱發(fā)現(xiàn)型控制D、恢復(fù)程序(或者備份流程)199.IS抽樣時(shí)，審計(jì)師重點(diǎn)審查賬戶金額超過200,000美金的客戶賬戶，應(yīng)使203.企業(yè)建立了開發(fā)、測(cè)試及生產(chǎn)三種IT處理環(huán)境。A、確保在未來的調(diào)查中可以重復(fù)該流程(留下依據(jù))A、審計(jì)經(jīng)理B、業(yè)務(wù)影響分析BIA219.非正規(guī)化(非規(guī)范化)對(duì)數(shù)據(jù)庫(kù)庫(kù)的最大影響是什么:饋題干描達(dá)為：底層用戶可以直接訪問數(shù)據(jù)庫(kù)，哪項(xiàng)風(fēng)險(xiǎn)大?)B、請(qǐng)專家重新檢查確認(rèn)審計(jì)結(jié)論(請(qǐng)外部專家進(jìn)行額外的測(cè)試)下哪項(xiàng)為IT人員編制計(jì)劃提供最佳指南?A、RPO244.下列哪一項(xiàng)能夠更好地完善流程改良(優(yōu)化)計(jì)劃?A、審計(jì)報(bào)告是最近12個(gè)月內(nèi)實(shí)施的251.一名IS審計(jì)師正在審查某企業(yè)的系統(tǒng)開發(fā)測(cè)試政策。在以下有可用性?B、已正確執(zhí)行了UAT測(cè)試D、責(zé)任歸屬(不可否認(rèn)性)259.企業(yè)使用IAAS(基礎(chǔ)設(shè)施及服務(wù))進(jìn)行IT管理，誰(shuí)應(yīng)該負(fù)責(zé)操作系統(tǒng)安全270.IT管理員廢除了數(shù)據(jù)庫(kù)中的某些引用完整性控制。下列哪一種控制能夠最273.哪一種類型的攻擊針對(duì)web應(yīng)用程序中的安全漏洞以獲得對(duì)數(shù)據(jù)集的權(quán)限?A、政策與公司政策與慣例的一致性B、政策與當(dāng)?shù)胤煞ㄒ?guī)的一致性C、政策與全球最佳實(shí)踐的一致性D、政策與業(yè)務(wù)目標(biāo)的一致性280.查看郵件的內(nèi)容是否被修改，應(yīng)使用?B、數(shù)字簽名D、雙因素認(rèn)證281.在web應(yīng)用中，包含以下哪一項(xiàng)可以保證最高的安全性?282.在一項(xiàng)it開發(fā)項(xiàng)目中調(diào)整方案需要用到額外資金，這筆額外資金最適合由誰(shuí)獲得?(項(xiàng)目因?yàn)樾略鲂枨?，已?jīng)確認(rèn)需要增加經(jīng)費(fèi)，誰(shuí)最應(yīng)該獲取該項(xiàng)費(fèi)用?)A、審計(jì)師B、項(xiàng)目發(fā)起人議?286.移動(dòng)設(shè)備要丟棄，怎么保證安全?(下列對(duì)于磁盤清理數(shù)據(jù)最有效?)B、清除數(shù)據(jù)軟件數(shù)據(jù)(數(shù)據(jù)擦除)D、設(shè)施圍欄高度2米293.IS審計(jì)師已發(fā)現(xiàn)，員工們?cè)谕ㄟ^電子郵件將敏感的公司信息發(fā)送到基于web的公共電子郵件域：對(duì)IS審計(jì)師而言，以下哪一須是建議的最佳補(bǔ)救措施?最大擔(dān)憂?307.為了減少日志服務(wù)器不堪收集錯(cuò)誤攻擊日志的壓力，以下最佳建議是()316.在審計(jì)IT資源管理實(shí)踐時(shí)，審項(xiàng)為標(biāo)準(zhǔn)進(jìn)行排序?(也有考生反饋題干為：外審發(fā)現(xiàn)企業(yè)的系統(tǒng)重要性排序不正確，以下哪一項(xiàng)決定系統(tǒng)重要性的排序?)319.IT治理包括向業(yè)務(wù)交付價(jià)值，以及：B、屏蔽路由器(屏蔽主機(jī)防火墻)324.IT審計(jì)師正審查公司的商業(yè)智能基礎(chǔ)架構(gòu)，以下哪項(xiàng)是幫助公司實(shí)現(xiàn)合理329.以下哪項(xiàng)是緊急修補(bǔ)程序的最大風(fēng)險(xiǎn)：B、利用臨時(shí)管理員賬號(hào)進(jìn)行修補(bǔ)330.信息系統(tǒng)的實(shí)施前審查以確定是否投產(chǎn)準(zhǔn)備就緒，IS審計(jì)師最需要關(guān)注什么?A、效益是否經(jīng)過證實(shí)。B、是否存在未解決的高風(fēng)險(xiǎn)項(xiàng)目C、用戶是否參與了QA測(cè)試D、項(xiàng)目是否符合預(yù)算和目標(biāo)目期331.以下哪項(xiàng)可以最好的證明控制的有效性?A、控制矩陣B、控制測(cè)試的結(jié)果C、和管理層的面談交流D、控制自我評(píng)估CSA332.IT審計(jì)師在中在第三方供應(yīng)商報(bào)告的KPI。以下哪頂是審計(jì)師的最大擔(dān)憂?A、KPI數(shù)據(jù)未加以分析334.審計(jì)工作完成后，審計(jì)師應(yīng)該先()?面?以在某個(gè)時(shí)候通過基準(zhǔn)測(cè)試建立一個(gè)已知的性能水平(稱為基準(zhǔn)線),當(dāng)系統(tǒng)的C、可排除(與供應(yīng)商相關(guān)的選項(xiàng))342.將多余的計(jì)算機(jī)設(shè)備處理給員工之前，應(yīng)做好哪項(xiàng)工作?A、使用應(yīng)用程序的刪除命令將文件刪除B、使用操作系統(tǒng)命令刪除硬盤上的所有文件C、使用隨機(jī)數(shù)據(jù)覆蓋硬盤驅(qū)動(dòng)器D、要求接收設(shè)備的員工簽署一份保密協(xié)議(non-disclosureagreement)343.以下哪一項(xiàng)最能保護(hù)在多個(gè)辦公地點(diǎn)之問傳輸?shù)拿舾袛?shù)據(jù)機(jī)密性?解析：(Kerberos是一種計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證協(xié)議，它允許某實(shí)體在非安全網(wǎng)絡(luò)環(huán)境下通信，向另一個(gè)實(shí)體以一種安全的方式證明自己的身份。Kerberos是第三方認(rèn)證機(jī)制，其中用戶和服務(wù)依賴于第三方(Kerberos服務(wù)器)來對(duì)彼此進(jìn)行身份驗(yàn)證。)344.營(yíng)銷部門的三個(gè)員工使用共享賬戶維護(hù)公司社交媒體的新聞信息的發(fā)布，這一過程存在什么問題?A、發(fā)布未經(jīng)審批的信息B、并發(fā)登錄導(dǎo)致更新發(fā)生沖突C、賬戶被別人修改后無法登錄352.信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，關(guān)鍵系統(tǒng)的備份未按照BCB、IT管理層A、DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)B、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)公有地址。使得內(nèi)部網(wǎng)絡(luò)上的(被設(shè)置為私有IP地址的)主機(jī)可以訪問InternD、校驗(yàn)(數(shù)字)位365.審計(jì)師進(jìn)行實(shí)施后審查，發(fā)現(xiàn)以下哪項(xiàng)IS審計(jì)師最應(yīng)關(guān)注?師應(yīng)該()374.系統(tǒng)內(nèi)并發(fā)輸入數(shù)據(jù)，如果系統(tǒng)控制不佳，將影響數(shù)據(jù)的()?389.IT經(jīng)理向高級(jí)經(jīng)理層匯報(bào)潛在的風(fēng)險(xiǎn)情況，運(yùn)行關(guān)鍵在線信用報(bào)告系統(tǒng)服B、忘記了(可排除)391.公司用了軟件即服務(wù)(saas),在軟件供應(yīng)商不再提供服務(wù)的情況下怎樣能399.當(dāng)變更遠(yuǎn)程環(huán)境中的程序時(shí)，最重要的應(yīng)得到()的批準(zhǔn)?404.組織想要評(píng)估IT系統(tǒng)之后，來實(shí)施財(cái)務(wù)審計(jì)(意思就是財(cái)務(wù)數(shù)據(jù)依賴于系統(tǒng)),那么IT審計(jì)師的實(shí)施流程是什么?B、先測(cè)試主要itac(應(yīng)用控制),再測(cè)試it一般控制(itgc)A、挑戰(zhàn)(無視)審計(jì)等級(jí)，審計(jì)全部?jī)?nèi)容407.對(duì)信息進(jìn)行實(shí)施后審計(jì)，下列哪項(xiàng)最可能削弱IS審計(jì)師的獨(dú)立性?A、確保系統(tǒng)修復(fù)得到系統(tǒng)所有者的批準(zhǔn)B、進(jìn)行功能測(cè)試C、執(zhí)行定期對(duì)賬416.對(duì)網(wǎng)絡(luò)進(jìn)行審計(jì)，最重要的是D、審查服務(wù)器數(shù)據(jù)包類型417.防尾隨的物理安全控制，對(duì)于無雙門設(shè)置的數(shù)據(jù)中心，以下哪項(xiàng)是最好的措施A、雙因素認(rèn)證D、要求佩戴ID標(biāo)識(shí)卡418.軟件使用可持續(xù)時(shí)間應(yīng)在哪個(gè)階段確定?B、用戶測(cè)試之后435.審計(jì)師發(fā)現(xiàn)某重要關(guān)鍵系統(tǒng)已6個(gè)月未更新安全補(bǔ)丁439.移動(dòng)設(shè)備要丟棄，怎么保證安全?(下列哪像對(duì)于磁盤清理數(shù)據(jù)最有效?)440.事故管理流程中，哪個(gè)環(huán)節(jié)最重要?(2022年4月題干描述為：審計(jì)事故管理有效性中，審計(jì)師最擔(dān)憂的()是無效的?)素?項(xiàng)?443.在公司實(shí)施了語(yǔ)音通信(VOIP),哪一項(xiàng)是存在的最大問題?A、SLAB、將每次訪問記入個(gè)人信息(即：作業(yè)日志)454.審計(jì)師發(fā)現(xiàn)某重要關(guān)鍵系統(tǒng)已6個(gè)月未更新安全補(bǔ)丁463.以下哪項(xiàng)表現(xiàn)了項(xiàng)目開展是經(jīng)由高層次人員支持并符合組織464.進(jìn)行安全代碼審查工作屬于哪一種類型的控制措施?(2022新題)465.企業(yè)所在地的監(jiān)管發(fā)布了最新的關(guān)于PII(個(gè)人可標(biāo)識(shí)信息)的路境數(shù)據(jù)轉(zhuǎn)B、客戶服務(wù)支持的用戶數(shù)473.審計(jì)師發(fā)現(xiàn)數(shù)據(jù)中心濕度很高，最會(huì)導(dǎo)致以下哪項(xiàng)風(fēng)險(xiǎn)?474.開展實(shí)施后審查的主要目的是檢驗(yàn)：A、已充分考慮了用戶訪問控制B、已正確執(zhí)行了UAT測(cè)試475.財(cái)務(wù)人員已經(jīng)禁用了對(duì)交易的審計(jì)日志，因此信息系統(tǒng)審計(jì)師建議財(cái)務(wù)人員不再有更改審計(jì)日志設(shè)置的權(quán)限。在跟蹤審計(jì)期間最重要的是驗(yàn)證：C、財(cái)務(wù)人員接受了安全意識(shí)培訓(xùn)476.在發(fā)現(xiàn)安全漏洞時(shí)，組織的安全政策要求雇員采取以下哪一項(xiàng)行動(dòng)?A、IT價(jià)值分析480.代理服務(wù)商反饋通過瘦客服端下載數(shù)據(jù)，延遲比較大，應(yīng)該進(jìn)行以下那項(xiàng)措施?A、申請(qǐng)?zhí)鎿Q為胖客戶端B、升級(jí)客戶端硬件配置C、升級(jí)客戶端程序以提供更詳細(xì)的錯(cuò)誤信息D、安裝中間件用來增強(qiáng)客戶端和系統(tǒng)的通信481.防止同時(shí)使用軟件許可的最佳措施?B、供應(yīng)商實(shí)施突擊審計(jì)D、計(jì)量軟件482.企業(yè)購(gòu)置了新的大容量存儲(chǔ)設(shè)備，將日前使用的替換下來，并且替換下來的用做恢復(fù)站點(diǎn)的儲(chǔ)存設(shè)備，以下審計(jì)師最擔(dān)心的是?B、恢復(fù)站點(diǎn)的存儲(chǔ)能力能否足夠C、新設(shè)備和替換設(shè)備是否簽訂維護(hù)合同D、采購(gòu)是否符合企業(yè)的策略和規(guī)定483.IS審計(jì)章程的主要目的是：C、IT組織結(jié)構(gòu)圖492.在瘦客戶端環(huán)境下最有可能會(huì)面臨以下哪個(gè)問題??A、信息系統(tǒng)壽命已盡(系統(tǒng)廢止)495.當(dāng)信息系統(tǒng)審計(jì)師期望零偏差或很少偏差時(shí)，使用以下哪種抽樣技術(shù)最適合?下一步應(yīng)該干什么?501.哪個(gè)工具模型可以優(yōu)化改進(jìn)持續(xù)改良計(jì)劃(或者題干為：以下哪個(gè)工具模型可以處理流程改善)?D、頻繁變更，以反映組織的戰(zhàn)略.A、銀行方(記不清，可排除)508.把信用卡號(hào)傳輸?shù)较乱患?jí)操作時(shí)，如何保護(hù)安全性?(在信用卡消費(fèi)中，對(duì)509.最能確定公司網(wǎng)絡(luò)整體安全性的方式是()?C、確認(rèn)ERP功能和對(duì)應(yīng)的控制措施，并進(jìn)行排序C、業(yè)務(wù)影響分析D、業(yè)務(wù)持續(xù)運(yùn)營(yíng)計(jì)劃525.某項(xiàng)目在申請(qǐng)國(guó)際質(zhì)量保證認(rèn)證，哪一項(xiàng)可以證明達(dá)到了質(zhì)量保證標(biāo)準(zhǔn)A、可衡量的流程B、組織的風(fēng)險(xiǎn)減小526.以下哪一項(xiàng)最能體現(xiàn)信息安全計(jì)劃的有效性?A、安全團(tuán)隊(duì)知識(shí)豐富，使用最好的工具B、經(jīng)過意識(shí)培訓(xùn)后，報(bào)告和確認(rèn)的安全事故數(shù)量有所增加C、安全意識(shí)培訓(xùn)計(jì)劃是根據(jù)行業(yè)最佳實(shí)踐開發(fā)的D、安全團(tuán)隊(duì)執(zhí)行了風(fēng)險(xiǎn)評(píng)估，以了解公司的風(fēng)險(xiǎn)偏好527.在小型組織中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)安全管理和系統(tǒng)分析功能由同一個(gè)員工執(zhí)行，這反映出以下哪個(gè)問題?A、沒有更新安全政策來反映這種情況B、該員工沒有簽署安全政策C、沒有對(duì)該員工的活動(dòng)進(jìn)行獨(dú)立審查D、沒有工作說明進(jìn)行更新以反應(yīng)當(dāng)前的現(xiàn)狀530.內(nèi)部應(yīng)用程序開發(fā)與定制的最大風(fēng)險(xiǎn)是以下A、第三方審校(代碼),企業(yè)確定軟件所有權(quán)536.以下哪項(xiàng)測(cè)試能最快確定web應(yīng)用程序的接口錯(cuò)誤()A、公司共享服務(wù)向用戶分發(fā)數(shù)據(jù)(服務(wù)器共享模式有利于文件的分發(fā))的有效性?544.以下哪項(xiàng)是云服務(wù)提供商實(shí)施了安全政策程序的最C、兼容性547.下列哪一項(xiàng)對(duì)信息安全管理系統(tǒng)的成功最560.記錄